本文講的是<b>控制域名忘記續費,三星數百萬台手機陷入“任人宰割”境地</b>,由于忘記給一個已廢棄應用的控制域名續費,三星數百萬台舊款智能手機陷入安全風險之中,容易遭受駭客的攻擊,甚至可能遠端安裝惡意軟體。
在2014年或之前時候,三星曾在旗下Android智能手機裡内置一款名為“S Suggest”的應用,可以根據目前安裝應用、搜尋和其它因素向使用者推薦新應用。這個推薦功能需要聯網才能工作,“S Suggest”把資料傳至ssuggest.com,然後由ssuggest.com傳回推薦結果。
三星在2014年砍掉了“S Suggest”項目,應用的控制域名ssuggest.com也不再更新。直到最近,三星忘記給域名續費,讓一位安全研究員重新注冊,接管了域名的控制權。
Anubis Labs的首席技術官João Gouveia表示,他在星期一接管了域名。他說三星正在把數百萬台智能手機的遠控域名拱手讓人,域名失效後,任何人都可以重新注冊,向這數百萬台手機推送惡意應用。
報道出來後,三星對Motherboard更正,表示不認同研究員的說法。官方稱雖然域名被接管,但域名“無法讓攻擊者安裝惡意軟體,也不允許攻擊者控制使用者的手機”。
注冊域名後,短短24小時内,Gouveia看到有大約210萬台裝置向ssuggest.com發送了6.2億個檢查或連接配接請求。“S Suggest”有許多權限,包括遠端重新開機手機、安裝應用或包。
獨立Android安全研究員Ben Actis說,如果不是Gouveia,而是一名駭客注冊了ssuggest.com,那麼對方可能直接就向數百萬台裝置去推送惡意後門和木馬。三星的回應簡直fucked up。
好在域名是被Gouveia注冊了,使用“S Suggest”的使用者暫時不用擔心。Gouveia稱願意把域名給三星,“希望他們不會再丢掉了”。
三星尚未釋出回應,目前還不清楚他們要怎麼解決這個問題。比如聯系Gouveia拿到域名,更新系統移除服務等。
而類似“為什麼三星内部的項目收尾可以如此随意,以至于讓手機高權限服務停止後仍可能被駭客利用”的疑惑,恐怕永遠不會得到答案。
前不久還發生過另一個極度尴尬的事,三星自研的Tizen系統爆出四十個漏洞,被研究員吐槽是見過最糟糕的代碼。
三星安全的日常是不是已經變成天天聽同行吐槽了?
原文釋出時間為:2017年6月19日
本文作者:longye
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/news/5548.html" target="_blank">原文連結</a>